Ранее на этой неделе мы объявили, что Azure Sentinel теперь общедоступен. Это знаменует собой важную веху в пути по адаптации Security Information и Event Management (SIEM) для эры облачных вычислений. С помощью Azure Sentinel предприятия во всем мире теперь могут идти в ногу с экспоненциальным ростом данных безопасности, повышать безопасность без добавления источников для аналитиков и снижать затраты на оборудование и его эксплуатацию.

Благодаря клиентам и партнерам, а именно их более чем 12000 отзывам во время тестирования  в демо-режиме, разработчики создали Azure Sentinel. Это позволило объединить возможности Azure и AI для обеспечения центров безопасности операций. На этой неделе появилось много новых возможностей.

Получение и анализ практически неограниченного объема данных по безопасности

С Azure Sentinel мы стремимся повысить безопасность всего предприятия. Многие источники данных Microsoft и других компаний уже интегрированы и могут быть включены одним щелчком мыши. Новые коннекторы для служб Microsoft, такие как Cloud App Security и Information Protection, объединяют постоянно увеличивающийся список сторонних коннекторов, чтобы максимально упростить обработку и анализ данных в вашей цифровой среде. Рабочие книги предлагают богатые возможности визуализации, позволяющие получить представление о ваших данных. Используйте или измените существующую книгу, а также создайте свою собственную.

Свободный доступ к Azure Sentinel: современный SIEM, переделанный для облака

Применение аналитики, включая машинное обучение, для обнаружения угроз

Теперь вы можете выбрать из более чем 100 встроенных вариантов оповещения или использовать новый мастер для создания своих собственных. Они могут инициироваться одним событием, на основе порогового значения, путем сопоставления различных наборов данных (например, событий, которые соответствуют индикаторам угрозы) или с использованием встроенных алгоритмов машинного обучения.

Мы рассматриваем два новых подхода к машинному обучению, которые предлагают клиентам преимущества ИИ без каких-либо трудностей. Во-первых, мы применяем проверенные стандартные модели машинного обучения для выявления подозрительных входов в систему через службы идентификации Microsoft для обнаружения злонамеренного доступа по SSH. Используя взятое из существующих моделей машинного обучения, Azure Sentinel может с высокой точностью обнаруживать проблемные места в одном наборе данных. Кроме того, мы используем метод машинного обучения, называемый Fusion, для соединения данных из нескольких источников, таких как подозрительные входы в Azure AD и действия Office 365 для обнаружения 35 различных угроз.

Ускоренный поиск угроз, «разбор» инцидентов и реагирование

Упреждающий поиск угроз является критически важной, но трудоемкой задачей для центров безопасности. Azure Sentinel упрощает этот процесс благодаря продуманному интерфейсу поиска, который содержит расширяющийся список поисковых запросов, а также поисковых запросов и библиотек Python для использования в ноутбуках Jupyter. Используйте их, чтобы идентифицировать потенциально опасные события и добавить их в закладки для дальнейшего использования.

Свободный доступ к Azure Sentinel: современный SIEM, переделанный для облака

Такие случаи имеют одно или несколько предупреждений, которые требуют дальнейшего расследования. Теперь введена поддержка тегирования, комментарии и назначения. Новый мастер правил позволяет вам решить, какие оповещения Microsoft будут инициировать создание инцидентов.

Используя предварительный просмотр нового графика расследования, вы можете визуализировать и прослеживать связи между объектами, такими как:

  • различные пользователи;
  • основные активы;
  • приложения или URL-адреса;
  • связанные с ними действия, например, вход в систему, передача данных или использование приложения.

Новые действия и журналы упрощают процесс автоматизации и устранения инцидентов с помощью приложений Azure Logic Apps. Отправьте электронное письмо, чтобы подтвердить действие, дополнить инцидент данными геолокации, заблокировать подозрительного пользователя и изолировать компьютер с Windows.

Отправьте запрос на обратный звонок

Попросите эксперта по Microsoft сервисам связаться с вами.

 

You have Successfully Subscribed!